• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙一直报日志使用率过高

13小时前提问
  • 0关注
  • 0收藏,34浏览
粉丝:6人 关注:1人

问题描述:

防火墙已安装硬盘了,硬盘也没有满,为什么还一直报日志使用率高

2 个回答
粉丝:23人 关注:2人

你的两条截图完全印证问题:
  1. 告警日志 flash:/logfile/xxx.log reaches 80%
    这里路径是机身内置 Flash 存储(容量很小,一般几百 MB),不是 465GB 外接业务硬盘;
  2. 下方存储页面 465GB 大硬盘是业务审计 / 流量日志专用分区,和 Flash 本地系统日志是两套独立存储,互不通用。
    硬盘空间充足只代表业务日志能存,但系统本地 Flash 日志目录已经爆满,持续上报告警。

二、4 个核心原因

  1. 内置 Flash log 分区容量极小
    防火墙机身 Flash 分出独立/logfile分区,通常仅 200MB~500MB,攻击、策略、审计、系统日志快速打满,阈值 80% 触发通知。
  2. 日志输出双份写入:既存硬盘,又本地保存到 Flash
    即使配置硬盘存储,系统仍会同步写入本地 flash/logfile,不会自动旁路跳过本地存储。
  3. 攻击量突增(atk_flood.log/ips.log 暴涨)
    内网攻击、CC、扫描、泛洪导致攻击日志瞬间刷屏,短时间占满 Flash 日志分区。
  4. 日志老化清理机制未优化,本地日志自动删除周期太长。

三、分步解决操作(按顺序执行)

1. 立刻清理 Flash 爆满日志(临时消除告警)

plaintext
system-view # 清空本地日志文件释放空间 logbuffer clear file delete flash:/logfile/*.log save
清理后告警立刻消失。

2. 配置本地 Flash 日志自动老化,防止反复打满

plaintext
system-view # 本地日志保留最短时长(建议1~3天) info-center logfile age 1 # 日志分区占用70%自动清理旧日志 info-center logfile threshold 70 # 关闭不必要本地日志输出,仅写入硬盘 info-center source default channel logbuffer filter deny task atk ips audit # 所有日志优先输出到硬盘存储,减少本地写入量 info-center loghost local-disk enable

3. 关闭冗余日志模块(无用日志不产生)

Web 界面:存储空间设置
  • 缩短 Web 防护、攻击日志保存周期(从 365 天改为 30~90 天)
  • 关闭僵尸主机、泛洪攻击等低频模块日志采集,减少写入量

4. 攻击流量治理(治本,避免日志疯狂生成)

plaintext
# 下联口抑制扫描、泛洪攻击 interface range GigabitEthernet 1/0/1 to 1/0/48 attack defense syn-flood limit 100 storm-control broadcast level 30
减少攻击日志爆发式写入 Flash。

四、关键区分(为什么硬盘空还告警)

表格
存储位置用途容量告警来源
Flash /logfile系统本地临时日志、内核 / 攻击实时缓存几百 MB 极小你收到的 LOGFILE_USAGEHIGH 告警
外接 465GB 硬盘长期归档业务审计、流量、网页日志数百 GB存储页面展示的容量,不参与本地日志阈值判断
二者物理分区隔离,硬盘空闲无法缓解 Flash 本地日志爆满。

极简总结

  1. 告警报的是机身内置 Flash 日志分区使用率 80%,和外接大容量硬盘无关;
  2. 硬盘只存归档业务日志,系统实时日志仍写入小容量 Flash;
  3. 解决:清理 flash 下所有 log 文件 + 缩短本地日志老化周期 + 日志优先落地硬盘减少本地写入;
  4. 内网攻击泛洪会快速填满 Flash 日志分区,需同步做攻击抑制。

暂无评论

粉丝:25人 关注:1人

防火墙报“日志使用率过高”,即使硬盘没满,也不一定是硬盘空间不足。这通常是H3C防火墙的一个预设告警机制,当特定日志文件使用率达到 80% 就会触发

在你看到的报错里(例如 The usage of log-file flash:/logfile/ips.log reaches 80%),关键信息是哪个模块(比如示例中的 ips.log)的日志满了。以下是几种解决方法:

  • 方案一:调整告警阈值(治标):这是处理此类告警最直接的方法。通过命令行调整特定模块的告警门限,可以避免频繁告警

    text
    <H3C> system-view [H3C] info-center logfile module [模块名] alarm-threshold [新阈值]
    • [模块名]:替换为产生告警的模块,比如 IPS

    • [新阈值]:范围0-100,可以调高到90或95。如果设为 0,则表示关闭该模块的告警功能

  • 方案二:扩大日志存储空间(治本)

    • Web界面操作:登录防火墙Web管理界面,在 系统 > 日志设置 > 基本配置 > 存储空间设置 中,调大对应业务的存储占比

    • 命令行检查:执行 dir 或 display logbuffer 确认存储介质状态

  • 方案三:配置日志远程备份(根治):将日志实时发送到外部的日志服务器(如Syslog服务器),并在防火墙本地关闭存储,从根本上解决空间问题

  • 方案四:手动清理旧日志(临时):在命令行中手动清理或删除旧的日志文件操作前请务必备份重要日志

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明